declaraciÓn de prÁcticas de certificaciÓn...declaraciÓn de prÁcticas de certificaciÓn código...

DECLARACIÓN DE PRÁCTICAS

DE CERTIFICACIÓN

Certificaciones Digitales Digicert S.R.L

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

Código CPS-ECA-01 Revisión 1 Página 1 de 38

©DIGICERT Información Pública

Tabla de Contenido

0. CONTROL DE CAMBIOS .............................................................................................................................. 3

0.1. CAMBIOS A LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DE LA ECA ....................................... 3

0.2. DETALLE DE CAMBIOS ........................................................................................................................... 3

1. DEFINICIONES Y ABREVIATURAS ................................................................................................................ 4

2. INTRODUCCIÓN ......................................................................................................................................... 5

2.1. PRESENTACIÓN ...................................................................................................................................... 5

2.2. OBJETIVO Y ALCANCE ............................................................................................................................ 5

2.2.1. OBJETIVO .......................................................................................................................................... 5

2.2.2. ALCANCE ........................................................................................................................................... 5

2.3. IDENTIFICACIÓN Y NOMBRE DEL DOCUMENTO .................................................................................... 5

2.4. PARTICIPANTES DE LA PKI BOLIVIA ....................................................................................................... 5

2.5. USO DE LOS CERTIFICADOS ................................................................................................................... 6

2.6. ADMINISTRACIÓN DE LA DECLARACIÓN DE PRÁCTICAS Y PROCEDIMIENTO DE APROBACIÓN ............ 8

3. PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DE CERTIFICADOS ....................................................... 8

4. IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS TITULARES DE LOS CERTIFICADOS ....................................... 9

4.1. REGISTRO DE NOMBRES ........................................................................................................................ 9

4.2. VALIDACIÓN DE LA IDENTIDAD INICIAL ............................................................................................... 11

4.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN DE CLAVE ..................... 12

4.4. IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE REVOCACIÓN DE CLAVE...................... 12

5. CICLO DE VIDA DE LOS CERTIFICADOS ..................................................................................................... 13

6. CONTROLES DE SEGURIDAD FÍSICA, GESTIÓN Y DE OPERACIONES ......................................................... 18

6.1. CONTROLES DE SEGURIDAD FÍSICA ..................................................................................................... 18

6.2. CONTROLES DE PROCEDIMIENTOS ..................................................................................................... 19

6.3. CONTROLES DE SEGURIDAD DE PERSONAL ......................................................................................... 20

6.4. PROCEDIMIENTOS DE CONTROL DE SEGURIDAD ................................................................................ 21

6.5. ARCHIVO DE INFORMACIONES Y REGISTROS ...................................................................................... 23

6.6. CAMBIO DE CLAVE DE LA ENTIDAD CERTIFICADORA .......................................................................... 23

6.7. RECUPERACIÓN DE LA CLAVE DE LA ENTIDAD CERTIFICADORA ......................................................... 23

6.8. CESE DE LAS ACTIVIDADES DE LA ENTIDAD CERTIFICADORA .............................................................. 24

7. CONTROLES DE SEGURIDAD TÉCNICA ..................................................................................................... 25

7.1. GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES ............................................................................. 25

7.2. PROTECCIÓN DE LA CLAVE PRIVADA ................................................................................................... 26




7.3. OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES ...................................................................... 27

7.4. DATOS DE ACTIVACIÓN ....................................................................................................................... 27

7.5. CONTROLES DE SEGURIDAD INFORMÁTICA ........................................................................................ 28

7.6. CONTROLES DE SEGURIDAD DEL CICLO DE VIDA ................................................................................ 28

7.7. CONTROLES DE SEGURIDAD DE LA RED .............................................................................................. 29

7.8. CONTROLES DE LOS MÓDULOS CRIPTOGRÁFICOS .............................................................................. 29

8. PERFIL DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS ................................................... 30

8.1. PERFIL DEL CERTIFICADO DE LA ENTIDAD CERTIFICADORA RAÍZ (ECR) ............................................... 30

8.2. PERFIL DEL CERTIFICADO DE LA ENTIDAD CERTIFICADORA AUTORIZADA (ECA) ................................ 31

8.3. PERFIL DE LA CRL DE LA ENTIDAD CERTIFICADORA RAÍZ .................................................................... 32

8.4. PERFIL DEL OCSP .................................................................................................................................. 32

9. AUDITORÍA DE CONFORMIDAD ............................................................................................................... 34

9.1. FRECUENCIA DE LOS CONTROLES DE CONFORMIDAD PARA CADA ENTIDAD ..................................... 34

9.2. RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA ................................................................... 34

9.3. COMUNICACIÓN DE LOS RESULTADOS ............................................................................................... 34

10. REQUISITOS COMERCIALES Y LEGALES ................................................................................................ 35

10.1. TARIFAS ............................................................................................................................................... 35

10.2. POLÍTICA DE CONFIDENCIALIDAD ....................................................................................................... 35

10.3. PROTECCIÓN DE DATOS PERSONALES ................................................................................................ 35

10.4. OBLIGACIONES DE LOS PARTICIPANTES DE LA PKI .............................................................................. 36

10.5. MODIFICACIONES AL PRESENTE DOCUMENTO ................................................................................... 37

10.6. RESOLUCIÓN DE CONFLICTOS ............................................................................................................. 37

10.7. LEGISLACIÓN APLICABLE ..................................................................................................................... 38

10.8. CONFORMIDAD CON LA LEY APLICABLE .............................................................................................. 38




0. CONTROL DE CAMBIOS

0.1. CAMBIOS A LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DE LA ECA

La Declaración de Practicas de Certificación será revisada con una periodicidad anual por el comité de

Certificaciones Digitales Digicert S.R.L, con el objetivo de incorporar los cambios derivados de los avances

tecnológicos y las modificaciones en la estructura organizativa de la sociedad, las regulaciones y normas

externas.

0.2. DETALLE DE CAMBIOS

Revisión Fecha Detalle de modificaciones

0 13/10/2016 Versión inicial del documento

1 12/03/2018 Revisión – Comentarios ATT

2 12/07/2018 Revisión – Auditoria ATT




1. DEFINICIONES Y ABREVIATURAS

� Abreviaturas

- EC: Entidad Certificadora.

- ECA: Entidad Certificadora Autorizada.

- ECR: Entidad Certificadora Raíz.

- AR: Agencia de Registro.

- URI: Identificador Uniforme de Recursos.

- OCSP: Protocolo de Estado de Certificados en Línea, según RFC 2560.

- PKI: (Public Key Infrastructure) Infraestructura de Clave Pública.

- RSA: (Rivest Shamir Adleman) Sistema criptográfico de Clave Pública.

- SHA: (Secure Hash Algorithm) Algoritmo de Hash Seguro.

- RFC: (Request For Comments) Requerimiento de Comentarios.

- IETF: (Internet Engineering Task Force) Grupo de Trabajo de Ingeniería de Internet.

- HSM: (Hardware Security Module) Modulo de Hardware de Seguridad.

- CRL: (Certificate Revocation List) Lista de Certificados Revocados.

- ATT: Autoridad de Regulación y Fiscalización de Transportes y Telecomunicaciones.

- CP: (Certificate Policy) Política de Certificación.

- CPS: (Certification Practice Statement) Declaración de Prácticas de Certificación.

- TIC: Tecnologías de Información y Comunicación.

- ISO: (International Organization for Standardization) Organización Internacional de Normalización.

- OID: (Object Identifier) Identificador de Objeto.

- SGSI: Sistema de Gestión de Seguridad de la Información.

� Definiciones

a) Certificado Digital: Es un documento digital formado digitalmente por una entidad certificadora

autorizada que vincula unos datos de verificación de firma a un signatario y confirma su identidad. El

certificado digital es válido únicamente dentro del período de vigencia, indicado en el certificado

digital.

b) Clave privada: Conjunto de caracteres alfanuméricos generados mediante un sistema de cifrado que

contiene datos únicos que el signatario emplea en la generación de una firma electrónica digital sobre

un mensaje electrónico de datos o documento digital.

c) Clave pública: Conjunto de caracteres de conocimiento público, generados mediante el mismo

sistema de cifrado de la clave privada; contiene datos únicos que permiten verificar la firma digital

de signatario en el Certificado Digital

d) Firma electrónica: Es el conjutno de datos electrónicos integrados, ligados o asociados de manera

lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que

carece de algunos de los requisitos legales para ser considerada firma digital.




2. INTRODUCCIÓN

2.1. PRESENTACIÓN

El presente documento constituye la Declaración de Practicas de Certificación (Certificate Practice

Statement) de Certificaciones Digitales Digicert S.R.L (a partir de ahora CPS), emitido en cumplimiento a

las Resoluciones Administrativas Regulatorias ATT-DJ-RA TL LP 31/2015, ATT-DJ-RA TL LP 32/2015 y ATT-

DJ-RA TL LP 1538/2015 formuladas por la Autoridad de Regulación y Fiscalización de Telecomunicaciones

y Transportes (ATT), de acuerdo a la Ley N° 164 General de Telecomunicaciones y Tecnologías de

Información y Comunicaciones y el Decreto Supremo N° 1793.

2.2. OBJETIVO Y ALCANCE 2.2.1. OBJETIVO

El objetivo del presente documento se limita a definir y describir las políticas, prácticas y procedimientos

empleados por Certificaciones Digitales Digicert S.R.L para brindar Servicios de Certificación.

Pretendiendo dar transparencia al conjunto de tareas relacionadas con la provisión de estos servicios.

2.2.2. ALCANCE

El alcance del documento se limita a todas las tareas relacionadas con la prestación de Servicios de

Certificación y las personas involucradas en ellas.

Esta CPS asume que el lector conoce los conceptos de PKI, certificado y firma digital, en caso contrario

se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar

con la lectura del presente documento.

La presente CPS es conforme con la especificación del RFC 2527 “Internet X.509 Public Key Infrastructure

Certificate Policy and Certification Practices Framework” propuesto por S. Chokhani y W. Ford, del

Internet Engineering Task Force (IETF), para este tipo de documentos, y su actualización en el RFC 3647.

La presente CPS se desprende la Certificate Policy (CP) de Persona Natural (documento CP-ECA-01) y la

CP de Persona Jurídica (documento CP-ECA-02).

2.3. IDENTIFICACIÓN Y NOMBRE DEL DOCUMENTO

El presente documento lleva como título “Declaración de Prácticas de Certificación de Certificaciones

Digitales Digicert S.R.L”.

Se publicará este documento en el sitio web de Certificaciones Digitales Digicert S.R.L inmediatamente

después de su aprobación.

2.4. PARTICIPANTES DE LA PKI BOLIVIA

La Jerarquía Nacional de Certificación Digital, según el artículo 36 del Decreto Supremo Reglamentario

N° 1793, establece los niveles de Infraestructura Nacional de Certificación Digital (INCD) de la siguiente

manera.




� Primer nivel: Entidad Certificadora Raíz

De acuerdo a la Ley N° 164 y el Decreto Supremo N° 1793 la Autoridad de Regulación y Fiscalización de

Telecomunicaciones y Transportes (ATT) es la Entidad Certificadora Raíz.

La ATT es la entidad de certificación de nivel superior dentro de la Jerarquía Nacional de Certificación

Digital que auto firmará su certificado y emitirá certificados digitales a las entidades certificadoras

públicas y privadas subordinadas.

� Segundo Nivel: Entidad de Certificación

La presente CPS especifica la actuación de Certificaciones Digitales Digicert S.R.L como ECA privada, la

cual se basa en la relación de una determinada clave pública con un sujeto concreto (ya sea este sujeto

físico o fiscal) por medio de un Certificado que avala esta relación.

Certificaciones Digitales Digicert S.R.L, para la firma digital será una Entidad de Certificación subordinada

a la ATT en su rol de Entidad Certificadora Raíz, cumpliendo con todas las normativas y regulaciones que

ello implica en materia de certificación.

� Tercer nivel: Agencia de Registro

La Agencia de Registro (desde ahora AR), será la encargada de la gestión de solicitudes de certificación.

Entre las funciones de la gestión de solicitudes cabe destacar la de identificación de los Solicitantes de

Certificados, esta identificación se llevará a cabo de acuerdo a las normas y procedimientos de esta CPS

y siempre actuará en conjunto con la ECA de Certificaciones Digitales Digicert S.R.L.

El servicio de registro de Certificaciones Digitales Digicert S.R.L será terciarizado, que estará sujeta a las

obligaciones y responsabilidades que se derivan de lo establecido en esta CPS y en las Políticas de

Certificación (CP), conforme con a con el Estándar vigente de Agencias de Registro.

� Cuarto nivel: Signatarios

Son todos los usuarios finales a quienes se ha emitido un Certificado por una Entidad Certificadora

Autorizada, dentro de la Jerarquía Nacional de Certificación Digital.

� Otros: Terceros aceptantes

Son cualquier persona física u organización que valida y confía en los certificados emitidos por una

Entidad Certificadora de la PKI Bolivia, sea la Entidad Certificadora Raíz o una de las ECA.

2.5. USO DE LOS CERTIFICADOS

� Usos típicos

El uso de los certificados emitidos por Certificaciones Digitales Digicert S.R.L estará limitado según el tipo

de certificado, y a continuación se menciona los usos de cada uno de ellos:




TIPO DE CERTIFICADO USO

Persona natural Firma de documentos, protección de correo electrónico, autenticación en sitio web, firma de código informático.

Persona jurídica En representación de una persona jurídica: firma de documentos, protección de correo electrónico, autenticación en sitio web, firma de código informático.

CRL Firma de Lista de Revocación de Certificado (o CRL).

� Usos prohibidos

El usuario contratante de certificados digitales generados por Certificaciones Digitales Digicert S.R.L está

obligado a utilizarlos conforme a los usos permitidos y señalados en la sección anterior o cualquier texto

normativo que los sustituya y regule la actividad de certificación digital dentro del Estado Plurinacional

de Bolivia y para el uso para el cual fue adquirido, quedando expresamente indicado que cualquier

violación a las normas, usos y/o leyes del Estado Plurinacional de Bolivia queda bajo la responsabilidad

del usuario contratante, así como los daños y perjuicios que ocasionare le será aplicable un proceso penal

establecido en el Código Penal, Artículo 363 (alteración, acceso y uso indebido de datos informáticos).

Adicionalmente le será revocado el certificado digital y el usuario contratante asume la responsabilidad

de indemnizar a Certificaciones Digitales Digicert S.R.L por daños y perjuicios ocasionados a terceros

derivados de reclamos, acciones, efectos de acción, pérdidas o daños (incluyendo multas legales) que se

generaren por el uso indebido, por parte del usuario contratante del servicio contratado con

Certificaciones Digitales Digicert S.R.L.

Finalmente, los certificados digitales de personal natural no pueden ser utilizados en remplazo de los

certificados de persona jurídica, en particular no se pueden firmar documentos en representación de una

persona jurídica con un certificado de persona natural.

� Fiabilidad de la firma digital a lo largo del tiempo

Para garantizar la fiabilidad de una firma y certificado digital a lo largo del tiempo, ésta deberá ser

complementada con la información del estado del certificado asociado en el momento en que la misma

se produjo y/o información no repudiable incorporando una estampa de tiempo.

Esto implica que, si queremos tener una firma y certificado que pueda ser validado a lo largo del tiempo,

la firma digital que se genera ha de incluir evidencias de su validez para que no pueda ser repudiada.

Para este tipo de firmas existirá un servicio que mantenga dichas evidencias, y será necesario solicitar la

actualización de las firmas antes de que las claves y el material criptográfico asociado sean vulnerables.




2.6. ADMINISTRACIÓN DE LA DECLARACIÓN DE PRÁCTICAS Y PROCEDIMIENTO DE APROBACIÓN

� Administración de la declaración de prácticas

La administración de la presente Declaración de Prácticas de Certificación es responsabilidad de

Certificaciones Digitales Digicert S.R.L. Por consultas o sugerencias, Certificaciones Digitales Digicert S.R.L

designa el siguiente contacto:

Dirección de correo: www.digicert.bo

Teléfono: (591)(3)3339093

� Procedimiento de aprobación

El sistema documental y de organización de la CPS de Certificaciones Digitales Digicert S.R.L garantiza, a

través de la existencia y la aplicación de los correspondientes procedimientos, el correcto mantenimiento

de esta Declaración de Prácticas de Certificación y de las especificaciones de servicios que están

relacionados.

La aprobación de esta Declaración de Prácticas de Certificación, así como toda modificación introducida

en ella, es responsabilidad exclusiva de Certificaciones Digitales Digicert S.R.L.

3. PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DE CERTIFICADOS

� Repositorios

Los repositorios públicos de información de Certificaciones Digitales Digicert S.R.L están disponibles

durante las 24 horas los 7 días de la semana y en caso de error del sistema fuera del control de

Certificaciones Digitales Digicert S.R.L, ésta dedicará sus mejores esfuerzos para que el servicio se

encuentre disponible de nuevo en un periodo establecido en 2 horas.

A fin de garantizar la completa disponibilidad de este documento en la Declaración de Prácticas de

Certificación y demás documentos esenciales, Certificaciones Digitales Digicert S.R.L mantiene un

repositorio en la página web del servicio de firma digital.

El repositorio público de Certificaciones Digitales Digicert S.R.L, no contiene información confidencial o

privada.

� Publicación

Es obligación para Certificaciones Digitales Digicert S.R.L publicar la información relativa a sus prácticas,

sus certificados y el estado actualizado de los mismos. Las publicaciones que realice Certificaciones

Digitales Digicert S.R.L, de toda la información clasificada como pública, se anunciara en la página web de

la Entidad Certificadora.

Este servicio de publicación de información del certificador está disponible durante las 24 horas los 7 días

de la semana y en caso de error del sistema fuera del control de Certificaciones Digitales Digicert S.R.L,




ésta dedicará sus mejores esfuerzos para que el servicio se encuentre disponible de nuevo en un periodo

establecido en 72 horas.

� Frecuencia de actualización

Certificaciones Digitales Digicert S.R.L se encuentra en la obligación de ejecutar de forma periódica la

publicación de la información y datos que permitan a los signatarios, y terceros aceptantes contar con los

registros, datos y vínculos necesarios para la utilización de los certificados y firmas digitales conforme a lo

establecido en la normativa nacional que regula la materia.

� Controles de acceso al repositorio de certificados

Certificaciones Digitales Digicert S.R.L brinda acceso irrestricto a toda la información contenida en el

repositorio público, y establece controles adecuados para restringir la posibilidad de escritura y

modificación de la información publicada, garantizando su integridad.

El acceso a la información publicada por Certificaciones Digitales Digicert S.R.L será de consulta y no podrá

ser modificada por personas no autorizadas. La información pública solo será actualizada por el personal

encargado de esa función, además, se garantiza la consulta a la CRL, al servidor OCSP y el presente

documento.

Todos los documentos publicados por Certificaciones Digitales Digicert S.R.L en el repositorio serán

firmados digitalmente por la entidad.

4. IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS TITULARES DE LOS CERTIFICADOS

4.1. REGISTRO DE NOMBRES

� Tipos de nombres

La norma vigente define los tipos de nombres para cada uno de los dos tipos de certificado.

Para las personas naturales, el nombre se compone de:

• CN = Nombres y apellidos de la persona natural;

• C = Estándar de acuerdo a ISO 3166 {BO};

• dnQualifier = Tipo de documento {CI/CE};

• uidNumber = Número de documento {numeral};

• uid = Número de complemento {alfanumérico} (opcional);

• serialNumber = Número de NIT {numeral} (opcional).

Para las personas jurídicas, el nombre se compone de:

• CN = Nombres y apellidos del representante legal autorizado para representar a la persona

jurídica en determinadas atribuciones;

• O = Razón social de la empresa o institución a la que representa la persona jurídica;

• OU = Unidad Organizacional de la que depende (opcional);




• T = Cargo del representante legal;

• C = Estándar de acuerdo a ISO 3166 {BO};

• dnQualifier = Tipo de documento {CI/CE};

• uidNumber = Número de documento {numeral};

• uid = Número de complemento {alfanumérico} (opcional);

• serialNumber = Número de NIT {numeral} (opcional).

� Significado de los nombres

Certificaciones Digitales Digicert S.R.L requerirá de los clientes contratantes de certificados digitales, sus

nombres y apellidos (completos y conforme figuran en la cédula de identidad que posea el solicitante de

la firma digital).

No serán admitidos o procesados por Certificaciones Digitales Digicert S.R.L los datos correspondientes a

diminutivos de nombres, alias o seudónimos con los cuales se pretenda identificar el usuario. En todos los

casos serán considerados los nombres que figuran en su cédula de identidad o pasaporte.

En todo caso Certificaciones Digitales Digicert S.R.L garantiza que los nombres distintivos contenidos en

los campos de los certificados son lo suficientemente distintivos y significativos para poder vincular la

identidad de un usuario a su firma digital.

� Interpretación de formatos de nombres

Las reglas utilizadas para la interpretación de los nombres distinguidos en los certificados emitidos están

descritos en la ISO/IEC 9595 (X.500) Distinguished Name (DN). Adicionalmente todos los certificados

emitidos por Certificaciones Digitales Digicert S.R.L utilizan codificación UTF-8 para sus atributos, según el

RFC 3280 (“Internet X.509 Public Key Infraestructure and Certificate Revocation List (CRL) Profile”).

� Unicidad de nombres

Los nombres distintivos deben ser únicos y no inducirán a ambigüedad.

Para ello se incluirá como parte del nombre común (common name) del nombre distintivo (distinguished

name) el nombre del subscriptor seguido de su número de CI, con el formato “Nombres Apellidos - CI

Número de CI”.

Las Políticas de Certificación pueden disponer la sustitución de este mecanismo de unicidad.

� Resolución de conflictos relativos a nombres

Certificaciones Digitales Digicert S.R.L no actúa como árbitro o mediador, ni resuelve ninguna disputa

relativa a la titularidad de nombres de personas u organizaciones, nombres de dominio, marcas o nombres

comerciales, etc.

Certificaciones Digitales Digicert S.R.L se reserva el derecho de rechazar una solicitud de certificado por

causa de conflicto sobre el nombre.




4.2. VALIDACIÓN DE LA IDENTIDAD INICIAL

� Métodos de prueba de posesión de la clave privada

El esquema de operación de Certificaciones Digitales Digicert S.R.L y su sistema de certificación se

encuentran configurados para funcionar en base a una estructura de clave pública.

En virtud de lo anterior, una vez emitido cada certificado, el usuario es responsable por la custodia y

resguardo de su clave privada. En caso de denuncia de extravío de su clave privada, se procederá a la

suspensión y/o revocación de la firma digital luego de las validaciones correspondientes.

Certificaciones Digitales Digicert S.R.L, en ningún momento poseerá u obtendrá la clave privada del

usuario. El resguardo, uso y administración de la misma es responsabilidad exclusiva del usuario.

� Autenticación de la identidad de una persona natural o jurídica

Certificaciones Digitales Digicert S.R.L procederá a autenticar y validar la identidad de los usuarios

dependiendo del tipo de certificado que soliciten. A continuación, se detallan los documentos requeridos

para concretar el proceso de identificación individual para cada tipo de certificado:

Persona Natural

• Fotocopia simple de carnet de identidad o carnet extranjero del solicitante.

• Fotocopia de la última factura de pago de luz, agua o teléfono que permita verificar la

dirección actual del solicitante.

Persona Jurídica:

• Fotocopia del simple del Certificado de Inscripción al Padrón Nacional de

Contribuyentes Biométrico Digital (PBD-11) y/o Documento de Exhibición de la NIT

(Número de Identificación Tributaria) del solicitante.

• Fotocopia simple del carnet de identidad o carnet de extranjero del representante legal

de la empresa u organización solicitante.

• Fotocopia del nombramiento o certificado laboral del solicitante firmado por el

Representante Legal de la empresa u organización solicitante.

• Autorización original de la persona jurídica solicitada por el Representante Legal.

Como norma general no se emplearán métodos de identificación remota distintos a la firma digital

realizada con certificados emitidos por la propia Certificaciones Digitales Digicert S.R.L, para personas

naturales. Explícitamente se prohíbe en esta CPS el uso de métodos de identificación remota para personas

jurídicas.




4.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN DE CLAVE

� Identificación y autenticación de las solicitudes de renovación rutinarias

Se realizará a través de la cuenta del usuario utilizada durante la solicitud del certificado. La renovación

del certificado es posible siempre que este no haya vencido ni se haya procedido a su revocación. La

cantidad máxima de renovaciones sin obligación de generar una nueva clave privada es de tres.

� Identificación y autenticación de las solicitudes de renovación con cambio de clave privada

La política de identificación y autenticación para la renovación de un certificado con cambio de claves será

la misma que para el registro inicial, o bien se empleará algún método electrónico que garantice de manera

fiable e inequívoca la identidad del solicitante y la autenticidad de la solicitud.

4.4. IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE REVOCACIÓN DE CLAVE

El procedimiento de revocación de un certificado puede realizarse mediante tres vías, a través de la cuenta

de usuario utilizada para solicitar el certificado, mediante vía telefónica o presencial.

Las condiciones particulares para el proceso de solicitud de revocación de cada tipo de certificado se

encuentran definidas en la Política de Certificación correspondiente.

Certificaciones Digitales Digicert S.R.L puede solicitar de oficio la revocación de un certificado si tuviera el

conocimiento o sospecha del compromiso de la clave privada del subscriptor, o cualquier otro hecho que

recomendará emprender dicha acción.

Las distintas Políticas de Certificación pueden definir la creación de una contraseña de revocación en el

momento del registro del certificado.




5. CICLO DE VIDA DE LOS CERTIFICADOS

Solicitud de certificado

La Agencia de Registro de Certificaciones Digitales Digicert S.R.L que reciba la solicitud le compete el

determinar que el tipo de certificado solicitado se adecue a las características concretas del solicitante, de

conformidad con el contenido de la Política de Certificación aplicable a dicho certificado y, de este modo,

resolver la solicitud formulada.

En cada Política de Certificación se especifica la información que debe suministrarse con carácter previo,

a quien solicite un certificado.

Emisión de certificado

Certificaciones Digitales Digicert S.R.L no es responsable de la monitorización, investigación o confirmación

de la exactitud de la información contenida en el certificado con posterioridad a su emisión. En el caso de

recibir información sobre la inexactitud o la no aplicabilidad actual de la información contenida en el

certificado, este puede ser revocado.

La emisión del certificado tendrá lugar una vez que Certificaciones Digitales Digicert S.R.L haya llevado a

cabo las verificaciones necesarias para validar la solicitud de certificación. El mecanismo por el que

determina la naturaleza y la forma de realizar dichas comprobaciones es la Política de Certificación.

Cuando la ECA de Certificaciones Digitales Digicert S.R.L emita un certificado de acuerdo con una solicitud

de certificación válida, enviará una copia del mismo al solicitante y otra al repositorio de Certificaciones

Digitales Digicert S.R.L.

Es tarea de Digicert S.R.L notificar al subscriptor de un certificado la emisión del mismo y proporcionarle

una copia.

Todo lo especificado en este apartado queda supeditado a lo estipulado por las distintas Políticas de

Certificación para la emisión de cada tipo de certificado.

Aceptación de certificado

La aceptación de los certificados por parte de los firmantes se produce en el momento de la firma del

contrato de certificación asociado a cada Política de Certificación. La aceptación del contrato implica el

conocimiento y aceptación por parte del suscriptor de la Política de Certificación asociada.

Uso del par de claves y del certificado

Los certificados emitidos por Certificaciones Digitales Digicert S.R.L pueden utilizarse, por parte de los

titulares de éstos, en cualquier relación con entidades públicas o privadas, organismos, personas jurídicas

o físicas que acepten los certificados.

Los certificados pueden emplearse para identificar al suscriptor de manera segura, para firmar

documentos electrónicos, correo electrónico, etc. Pueden emplearse, asimismo, para cifrar información

en formato electrónico de forma permanente.




Renovación del certificado

En cada una de las Políticas de Certificación asociadas a cada tipo de certificado emitido por Certificaciones

Digitales Digicert S.R.L se detalla la posibilidad o no de renovar los certificados, así como las condiciones

para proceder a su renovación.

Renovación de claves del certificado

La renovación de claves implica necesariamente la renovación de certificado y no se pueden llevar a cabo

como procesos separados.

Modificación del certificado

Únicamente se pueden acordar durante el ciclo de vida de un certificado la modificación de los campos

relativos a la dirección postal y teléfono del suscriptor.

Revocación de certificados

1. Circunstancias para la revocación

Un certificado se revoca cuando:

� El subscriptor del certificado o sus claves o las claves de sus certificados se han comprometido por:

- El robo, pérdida, revelación, modificación u otro compromiso o sospecha de compromiso

de la clave privada del usuario.

- El mal uso deliberado de claves y certificados, o la falta de observación de los requerimientos

operacionales del acuerdo de suscripción, la CP asociada o la presente CPS.

� Se produce la emisión defectuosa de un certificado debido a:

- Que no se ha satisfecho un prerrequisito material para la emisión del certificado.

- Que un factor fundamental en el certificado se sepa o crea razonablemente que puede ser

falso.

- Un error de entrada de datos u otro error de proceso.

� El par de claves generado por un usuario final se revela como “débil”.

� La información contenida en un certificado o utilizada para realizar su solicitud se convierte en

inexacta, por ejemplo, cuando el dueño de un certificado cambia su nombre.

� Una solicitud de revocación válida se recibe de un usuario final.

� Una solicitud de revocación válida se recibe de una tercera parte autorizada, por ejemplo, una orden

judicial.

� El certificado de una AR o ECA superior en la jerarquía de confianza del certificado es revocado.

2. Entidad que puede solicitar la revocación

La revocación de un certificado se puede instar tanto por el suscriptor del mismo como por parte de

Certificaciones Digitales Digicert S.R.L. Los suscriptores de certificados pueden solicitar su revocación por

cualquier causa y deben solicitarla bajo las condiciones especificadas en el siguiente apartado.




3. Procedimiento de solicitud de revocación

El procedimiento para la solicitud de la revocación de cada tipo de certificado se definirá en la Política de

Certificación correspondiente. De forma general, y sin perjuicio de lo definido en las Políticas de

Certificación:

� Se aceptarán solicitudes de revocación remotas a través de la página web de Certificaciones

Digitales Digicert S.R.L con el usuario utilizado para la solicitud del certificado.

� Se aceptarán solicitudes de revocación telefónicas, las cuales podrán requerir la utilización de un

código y/o contraseña generados durante la solicitud del certificado además de una identificación

satisfactoria del solicitante.

� Se aceptarán solicitudes de revocación presenciales cumpliendo con los procedimientos de

identificación definidos en cada Política de Certificación correspondiente.

� En el caso de producirse una solicitud de revocación sin posible verificación de la identidad del

solicitante (telefónica, correo electrónico etc.), se procederá a la suspensión del certificado

durante un plazo máximo de 30 días naturales, durante los que se procederá a verificar la

veracidad de la solicitud. En el caso de no poder verificar la solicitud en dicho plazo, se procederá

a la revocación del certificado. Es importante reseñar que el certificado no será utilizable desde

el momento del procesamiento de la solicitud.

� Tras la revocación del certificado el suscriptor del mismo deberá destruir la clave privada que se

corresponda con el mismo, y no hacer uso del certificado revocado. Existe un formulario de

solicitud de revocación de certificados en la web de Certificaciones Digitales Digicert S.R.L, en la

URL www.digicert.bo.

Una solicitud de revocación tanto si se realiza de forma presencial, electrónica (ej. página web) debe

contener la información que se describe en el formulario de solicitud de revocación, recogido en cada una

de las Políticas de Certificación.

Al finalizar el proceso se comunica al solicitante la revocación del certificado.

4. Período de gracia de solicitud de revocación

La revocación se realizará de forma inmediata al procesamiento de cada solicitud verificada como válida.

Por tanto, no existe ningún periodo de gracia asociado a este proceso.

Suspensión de certificados

1. Circunstancias para la suspensión

La suspensión implica invalidez del certificado durante el tiempo que permanece suspendido.

La suspensión únicamente se puede declarar de oficio por la propia Certificaciones Digitales Digicert S.R.L,

cuando se ha producido una solicitud de revocación de un certificado sin posible verificación inmediata de

la identidad del solicitante (telefónica, por correo electrónico sin firma digital), o cuando Certificaciones

Digitales Digicert S.R.L sospecha que se haya podido comprometer la clave privada asociada al certificado

de un usuario, o si Certificaciones Digitales Digicert S.R.L tiene dudas sobre la veracidad de los datos




asociados al certificado. El plazo máximo que puede quedar suspendido un certificado por alguna de estas

causas será de 30 días.

También se suspenderá un certificado si así lo dispone una autoridad judicial o administrativa, por el

tiempo que la misma establezca.

Certificaciones Digitales Digicert S.R.L no soporta la suspensión de certificados como operación

independiente sobre sus certificados.

2. Entidad que puede solicitar la suspensión

La suspensión de un certificado emitido por Certificaciones Digitales Digicert S.R.L. podrá ser solicitada por

la propia Digicert o por una autoridad jurídica.

3. Procedimiento de solicitud de suspensión

La suspensión de un certificado deberá iniciarse por vía telefónica, contactándose con el soporte telefónico

de Certificaciones Digitales Digicert S.R.L. al (591)(3) 3339093.

4. Límites del período de suspensión

El período de suspensión de la vigencia de los certificados será normalmente de 15 días, salvo que la

resolución judicial o administrativa que lo dictamine imponga un plazo superior o inferior, para lo cual, se

aplicará el mismo.

Servicios de comprobación de estado de los certificados

Certificaciones Digitales Digicert S.R.L posee servicios de comprobación de estado de los certificados.

Dichos servicios son la lista de certificados revocados (CRL) y el protocolo OCSP para acceso online a la

comprobación del estado de los mismos.

Los sistemas CRL y OCSP están disponibles durante las 24 horas los 7 días de la semana.

Requisitos de comprobación de CRL

La verificación del estado de los certificados es obligatoria para cada uso de los certificados de entidades

finales. Esta comprobación puede hacerse a través de la consulta de la CRL o de otros mecanismos

dispuestos por Certificaciones Digitales Digicert S.R.L.

Los terceros confiantes deberán comprobar la validez de la CRL previamente a cada uno de sus usos y

descargarse la nueva CRL del repositorio de Certificaciones Digitales Digicert S.R.L al finalizar el periodo de

validez de la que posean.

Los certificados revocados permanecen en la CRL hasta que alcanzan su fecha de expiración. Alcanzada

ésta, se eliminan de la Lista de Certificados Revocados, ante su imposibilidad de ser utilizados por estar

caducados.




Requisitos de comprobación online del estado de los certificados

El servidor OCSP es de libre acceso y no existe ningún requisito para su uso excepto los derivados del uso

del propio protocolo OCSP según se define en el RFC 2560.

Fin de la suscripción

El usuario podrá dar el uso permitido al certificado durante su período de vigencia. Llegado a término del

período de vigencia del certificado, el usuario podrá optar al proceso de renovación. Si el usuario no opta

por la renovación, tendrá a su disponibilidad en los archivos de Certificaciones Digitales Digicert S.R.L por

un lapso de cinco (5) años los registros correspondientes a la generación de su certificado.

Depósito y recuperación de las claves

La clave privada de Certificaciones Digitales Digicert S.R.L se custodia utilizando un dispositivo de hardware

criptográfico (HSM) de acuerdo con FIPS 140-2 Nivel 3 o superior nivel de seguridad. Para el acceso al

repositorio de claves privadas es necesario el uso de Tokens USB configurados mediante el esquema de

Shamir (m,n).




6. CONTROLES DE SEGURIDAD FÍSICA, GESTIÓN Y DE OPERACIONES

6.1. CONTROLES DE SEGURIDAD FÍSICA

� Ubicación y construcción

Los sistemas de información de Certificaciones Digitales Digicert S.R.L se ubican en Centros de

Procesamiento de Datos con niveles de protección adecuados, de acuerdo a los requisitos de la normativa

en materia de seguridad.

El Centro de Datos principal opera las 24 horas del día, los 7 días a la semana y adicionalmente se cuenta

con un Centro de Datos secundario, para hacer frente a diferentes situaciones de emergencia.

� Acceso físico

Los Centros de Procesamiento de Datos de Certificaciones Digitales Digicert S.R.L disponen de diversos

perímetros de seguridad, con requerimientos de autorización independientes. Entre los equipos que

protegen los perímetros de seguridad se encuentran sistemas de control de acceso físico biométricos,

sistemas de videovigilancia y de grabación, sistemas de detección de intrusos, entre otros.

Para el control de acceso físico al servidor donde se encuentra instalada la autoridad certificadora de

Digicert S.R.L, se encuentran definidos 5 perímetros o niveles de seguridad. Los mismos son tenidos en

cuenta para el acceso desde el exterior al gabinete donde se encuentra la autoridad certificadora y clave

privada de Digicert S.R.L.

Para acceder a las áreas más protegidas se requiere doble factor de autenticación y personal autorizado

en cada nivel de acceso.

� Alimentación eléctrica y aire acondicionado

Las instalaciones disponen de UPS con una potencia suficiente para asegurar la alimentación

ininterrumpida de la red eléctrica durante los períodos de apagado controlado del sistema y para proteger

los equipos frente a fluctuaciones eléctricas que los pudieran dañar.

El apagado de los equipos sólo se producirá en caso de fallo de las UPS.

Se cuenta con sistema de acondicionamiento ambiental con capacidad para mantener los niveles de

temperatura y humedad dentro de los márgenes de operación óptimos de los servidores, dispositivos

criptográficos y equipos de comunicación.

� Exposición al agua

Los Centros de Datos, al igual que las oficinas de archivo, se encuentran protegidos de la exposición al agua

desde su estructura de construcción.

� Protección y prevención de incendios

Los Centros de Procesamiento de Datos de Certificaciones Digitales Digicert S.R.L disponen de sistemas

para la detección y extinción de incendios.




� Sistema de almacenamiento

Los soportes de información sensible se almacenan de forma segura en armarios y cajas fuertes, según el

tipo de soporte y la clasificación de la información en ellos contenida.

El acceso a estos soportes está restringido a personal autorizado.

� Eliminación de residuos

Certificaciones Digitales Digicert S.R.L cuenta con procedimientos de eliminación adecuados para cada tipo

de soporte a tratar y servicios para la eliminación de residuos en todas sus instalaciones.

� Copia de seguridad

Los Centros de Datos reúnen y mantienen los requisitos de operación que para este tipo de facilidades

impone la normativa, al contar con planes y procedimientos de gestión de incidentes y respaldos de la

información necesaria.

6.2. CONTROLES DE PROCEDIMIENTOS

Los sistemas de información y los servicios de Certificaciones Digitales Digicert S.R.L se operan de forma

segura, siguiendo procedimientos preestablecidos. Por razones de seguridad, la información relativa a los

controles de procedimiento se considera material confidencial y solo se explican de forma resumida.

� Roles de confianza

Los roles identificados para el control y la gestión de los servicios son:

- Administrador de TI (pertenece a Digicert S.R.L );

- Oficial de Seguridad (pertenece a Digicert S.R.L );

- Administrador de certificados (por parte de la Digicert S.R.L );

- Agente de Registro (pertenece a AR);

- Supervisor de Registro (pertenece a AR).

� Número de personas requeridas por tarea

Se requieren dos personas para la activación de claves de los dispositivos de generación y almacenamiento

de claves, HSM. La modificación de los parámetros de configuración del hardware criptográfico implica la

autenticación por parte de dos personas autorizadas y con privilegios suficientes.

� Identificación y autenticación para cada rol

Todos los usuarios autorizados de Certificaciones Digitales Digicert S.R.L se identifican mediante

certificados digitales auto firmados y se autentifican por medio de smart-cards criptográficas y/o

dispositivos biométricos.

La autenticación se complementa con las correspondientes autorizaciones para acceder a determinados

activos de información o sistemas de Certificaciones Digitales Digicert S.R.L.




6.3. CONTROLES DE SEGURIDAD DE PERSONAL

� Requerimientos de calificación, experiencia y acreditación

Certificaciones Digitales Digicert S.R.L requiere que todo el personal que desarrolla tareas en sus

instalaciones tenga la suficiente cualificación y experiencia en entornos de prestación de servicios de

certificación. Todo el personal debe cumplir los requerimientos de seguridad de la organización y deben

poseer:

- Conocimientos y formación sobre entornos de certificación digital.

- Formación básica sobre seguridad en sistemas de información.

- Formación específica para su puesto.

� Requerimientos de formación

El personal de Certificaciones Digitales Digicert S.R.L está sujeto a un plan de formación específico para el

desarrollo de su función dentro de la organización. Dicho plan de formación incluye los siguientes

aspectos:

- Formación en los aspectos legales básicos relativos a la prestación de servicios de certificación.

- Formación en seguridad de los sistemas de información.

- Conceptos básicos sobre PKI.

- Declaración de Prácticas de Certificación y las Políticas de Certificación pertinentes.

- Gestión de incidentes.

� Frecuencia y secuencia de rotación de tareas

No se ha definido ningún plan de rotación en la asignación de sus tareas para el personal de Certificaciones


� Sanciones por acciones no autorizadas

En el caso de cometer de una acción no autorizada con respecto a la operación de Digicert S.R.L se tomarán

medidas disciplinarias. Se considerarán acciones no autorizadas las que contravengan la Declaración de

Prácticas de Certificación o las Políticas de Certificación pertinentes tanto de forma negligente como

malintencionada.

Si se produce alguna infracción, Certificaciones Digitales Digicert S.R.L suspenderá el acceso de las

personas involucradas a todos los sistemas de información de forma inmediata al conocimiento del hecho.

� Requerimientos de contratación de personal y controles periódicos de cumplimiento

Todo el personal de Certificaciones Digitales Digicert S.R.L debe honrar la firma del acuerdo de

confidencialidad al incorporarse a su puesto. En dicho acuerdo, además, se obliga a desarrollar sus tareas

de acuerdo con esta Declaración de Prácticas de Certificación (CPS), la Política de Seguridad de la

Información de Certificaciones Digitales Digicert S.R.L y los procedimientos aprobados.




El control de que el personal posee los conocimientos necesarios se lleva a cabo al finalizar las sesiones

formativas y discrecionalmente, por parte del encargado de impartir estos cursos.

El control de la existencia de la documentación que los empleados deben conocer y firmar, se lleva a cabo

anualmente por parte del área de Recursos Humanos.

Anualmente, el Oficial de Seguridad llevará a cabo una revisión de la adecuación de las autorizaciones

otorgadas a cada empleado.

� Documentación proporcionada al personal

Al personal que se incorpora a Certificaciones Digitales Digicert S.R.L se le proporciona acceso a la siguiente

documentación:

- Declaración de Prácticas de Certificación.

- Políticas de certificación.

- Política de Seguridad de la Información.

Se facilitará acceso a la documentación relativa a normas y planes de seguridad, procedimientos de

emergencia y toda aquella documentación técnica necesaria para llevar a cabo sus funciones.

� Finalización de los contratos

En caso de finalización de la relación laboral del personal que desarrolla sus funciones en Certificaciones

Digitales Digicert S.R.L, el Oficial de Seguridad procederá a llevar a cabo las acciones o comprobaciones

que se detallan en los puntos siguientes, bien directamente o dando instrucciones para ello al personal

adecuado:

- Suprimir los privilegios de acceso del individuo a las instalaciones de la organización cuyo acceso

sea restringido;

- Suprimir los privilegios de acceso del individuo a los sistemas de información de la organización,

con especial atención a los privilegios de administración y a los de acceso remoto;

- Suprimir el acceso a toda información, a excepción de la considerada Pública;

- Informar al resto de la organización claramente de la marcha de individuo y de su pérdida de

privilegios;

- Verificar la devolución del material proporcionado por Certificaciones Digitales Digicert S.R.L. Por

ejemplo: PC, llaves de mobiliario u oficinas, tarjetas de acceso, etc.

6.4. PROCEDIMIENTOS DE CONTROL DE SEGURIDAD

� Tipos de eventos registrados

Certificaciones Digitales Digicert S.R.L almacena registros electrónicos de eventos relativos a su actividad

como Entidad Certificadora. Estos registros son almacenados de forma automática en un centralizador de

logs con controles de integridad (AlienVault SIEM). Los registros generados automáticamente por cada




equipo serán mantenidos por Certificaciones Digitales Digicert S.R.L. Los registros pueden ser archivados

en papel o en forma digitalizada.

Dentro de los eventos registrados se encuentran:

- Accesos Físicos al Datacenter

- Alarmas del detector de intrusos (IDS)

- Eventos del firewall

- El acceso de los usuarios a los sistemas

- Los cambios de configuración

- Alarmas de potenciales incidentes de seguridad

- Escaneos de seguridad

� Frecuencia de procesado de registros

Se realiza en cualquier momento que se considere necesario, por razones técnicas o de seguridad. Una vez

concluida la revisión se eleva informe respectivo sobre cualquier anomalía.

� Período de retención para los registros de auditoría

Los periodos de retención de registros se mantienen por un período de dos (2) años.

� Protección de los registros de auditoría, sistema de recogida de información de auditoría,

notificación al sujeto, causa del evento, análisis de vulnerabilidades

Los registros históricos de auditoría se cifran usando la clave pública de un certificado que se emitirá para

la función de auditoría de Digicert S.R.L. Las copias de respaldo de dichos registros se almacenan en las

instalaciones seguras de Certificaciones Digitales Digicert S.R.L.

La destrucción de un archivo de auditoría solo se puede llevar a cabo con la autorización del Administrador

de Sistemas y el Oficial de Seguridad.

� Procedimientos de copia de seguridad de los registros de auditoría

Se generan copias incrementales locales y remotas, de acuerdo con la Política de Copias de Seguridad de


� Sistema de recogida de información de auditoría

El sistema de recolección de auditorías de los sistemas de información de Certificaciones Digitales Digicert

S.R.L es una combinación de procesos automáticos y manuales ejecutados por los sistemas operativos, las

aplicaciones, y por el personal que las opera.

� Notificación al sujeto causante del evento

No estipulado.




� Análisis de vulnerabilidades

Se realizan análisis de vulnerabilidades periódicos de acuerdo con las Políticas y Procedimientos de


6.5. ARCHIVO DE INFORMACIONES Y REGISTROS

� Tipos de información y eventos registrados

Certificaciones Digitales Digicert S.R.L archivará la información referente a:

- Solicitud de certificados;

- Firma de certificados;

- Suspensión, renovación y revocación de certificados;

- Registro de usuarios;

- Acciones que afecten los equipos criptográficos;

- Operaciones sobre los sistemas de firma de certificados.

� Período de retención para el archivo

Todos los registros de Certificaciones Digitales Digicert S.R.L, referentes a la operación de sus servicios de

certificación son archivados conforme a la normativa de conservación de documentos especificada por la

ATT.

� Sistema de recogida de información para auditoría, procedimientos para obtener y verificar

información archivada

Cada uno de los servidores de certificación posee un módulo para almacenar los registros de eventos,

específicamente eventos de certificación. Este registro de eventos permite auditar y verificar los intentos

de accesos, los accesos y las operaciones dañinas, sean estas intencionales o no, como también las

operaciones normales realizadas para la firma de los certificados.

6.6. CAMBIO DE CLAVE DE LA ENTIDAD CERTIFICADORA

Certificaciones Digitales Digicert S.R.L podrá cambiar su par de claves por los siguientes motivos:

a) De algún modo se ha visto comprometida la clave privada de Certificaciones Digitales Digicert

S.R.L.

b) Por la caducidad del certificado firmado por la ATT para las operaciones de Certificaciones


c) Por falla o desastre de los equipos necesarios para la firma y que no sea posible habilitar los planes

de recuperación.

6.7. RECUPERACIÓN DE LA CLAVE DE LA ENTIDAD CERTIFICADORA

Certificaciones Digitales Digicert S.R.L cuenta con un plan de continuidad de negocio y recuperación de

ante desastres, ante el evento de un eventual compromiso parcial o total del Centro de Datos. El Plan de




recuperación ante desastre es revisado periódicamente a la luz de nuevos riesgos introducidos en el

ambiente.

El plan de recuperación ante desastre está orientado a:

- Fallas/corrupción de recursos informáticos;

- Compromiso de la integridad de la clave; y

- Desastres naturales.

La Dirección debe tomar los correctivos y emprender las actividades necesarias para restablecer el sistema

de certificación en el momento de presentarse un escenario de desastre. En el plan de continuidad de

negocio y recuperación ante desastre, se especifica el procedimiento a realizar en cada uno de los

escenarios considerados como desastre.

6.8. CESE DE LAS ACTIVIDADES DE LA ENTIDAD CERTIFICADORA

Certificaciones Digitales Digicert S.R.L tiene establecido un período de vigencia u operación en virtud de la

Ley 164 de Telecomunicaciones y además cuenta con un plan de cese de actividades de acuerdo al artículo

51 del reglamento para el desarrollo de las TIC, decreto supremo Nr. 1793. Certificaciones Digitales Digicert

S.R.L tiene contemplado en la eventualidad que ocurra un cese de operaciones, los siguientes supuestos:

- Extinción por vencimiento de acreditación: Proceder conforme a la Ley a solicitar la renovación de

acreditación ante la ATT.

- Suspender la venta de certificados digitales a partir de la fecha de notificación del cese de operación

a la ATT; y colocar a disposición de la ATT lo correspondiente a los certificados que se encuentren

vigentes, hasta tanto se produzca el vencimiento de la totalidad de los certificados que hayan sido

emitidos por Certificaciones Digitales Digicert S.R.L.

- En el caso de ocurrencia de cualquier de los supuestos antes indicados y luego de operado el cese de

operaciones, Certificaciones Digitales Digicert S.R.L colocará a disposición de la ATT, el repositorio de

todos los certificados emitidos durante su gestión, incluyendo el estatus de cada uno de ellos.




7. CONTROLES DE SEGURIDAD TÉCNICA

7.1. GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES

� Generación del par de claves

Los pares de claves para todos los componentes internos de Certificaciones Digitales Digicert S.R.L se

generan en módulos de hardware criptográficos (HSM) con certificación FIPS 140-2 nivel 3. Los pares de

claves para entidades finales se generan en función de lo estipulado en la Política de Certificación aplicable.

La generación inicial de las claves se realiza durante una ceremonia en presencia de representantes de la

ATT y Notario de Fe Pública.

� Tamaño de las claves

Las claves de la raíz de la entidad certificadora de Certificaciones Digitales Digicert S.R.L son claves RSA de

4096 bits de longitud.

El tamaño de las claves para cada tipo de certificado emitido por Certificaciones Digitales Digicert S.R.L se

establece en la Política de Certificación que le es de aplicación. En todo caso, su tamaño nunca será inferior

a 2.048 bits.

� Parámetros del certificado y comprobación de la calidad de los parámetros

Los parámetros utilizados para la generación de los certificados se basan en el estándar X.509 y el RFC

5280 (“Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”).

Los procedimientos y medios de comprobación de la calidad de los parámetros de generación de claves

para cada tipo de certificado emitido por Certificaciones Digitales Digicert S.R.L vienen definidos por la

Política de Certificación que le sea de aplicación

� Hardware y software de generación de claves

Las claves para las entidades de la PKI se generan en dispositivos HSM criptográficos con certificación FIPS

140-2 nivel 3.

El software utilizado por Certificaciones Digitales Digicert S.R.L para la generación del par de claves y

certificados es “Enterprise Java Beans Certificate Authority” (o EJBCA), software libre y open source

mantenido por PrimeKey bajo una licencia GNU General Public License.

� Fines de uso de la clave

La clave privada de Certificaciones Digitales Digicert S.R.L puede ser usada para:

- Firma de certificados establecidos en la presente CPS.

- Firma de CRL y OCSP.

Los fines del uso de la clave para cada tipo de certificado emitido por Certificaciones Digitales Digicert S.R.L

vienen definidos por la Política de Certificación que le sea de aplicación. Todos los certificados emitidos




contienen las extensiones KEY USAGE y EXTENDED KEY USAGE definidas por el estándar X.509 (v3) para la

definición y limitación de tales fines.

7.2. PROTECCIÓN DE LA CLAVE PRIVADA

� Estándares para los módulos criptográficos

Los módulos criptográficos usados por Certificaciones Digitales Digicert S.R.L están certificados para

cumplir con los requerimientos establecidos por la ATT.

Los módulos criptográficos utilizados por Certificaciones Digitales Digicert S.R.L cumplen con el estándar

FIPS 140-2 nivel 3.

� Control multi-persona de la clave privada

La clave de cifrado para la clave privada de la Entidad Certificadora de Certificaciones Digitales Digicert

S.R.L se encuentra bajo control multi-personal, dividida en varios fragmentos y es necesario un mínimo de

dos de esos fragmentos para poder volver a recomponer la clave.

� Custodia de la clave privada

Las claves privadas relacionadas a los certificados de persona natural y jurídica emitidos, son custodiadas

por los mismos suscriptores.

La clave privada de la Entidad Certificadora de Certificaciones Digitales Digicert S.R.L y Agencias de Registro

de Fundempresa se encuentran alojadas en dispositivos HSM con certificación FIPS 140-2 nivel 3.

� Copia de seguridad de la clave privada

La clave privada de Certificaciones Digitales Digicert S.R.L está resguardada en módulos HSM protegidos

física y lógicamente.

� Archivo de la clave privada

La clave privada de Certificaciones Digitales Digicert S.R.L se encuentra almacenada en dispositivos de

hardware criptográfico, los cuales se encargan de respaldarla y cifrarla.

� Introducción de la clave privada al módulo criptográfico

La clave privada se crea en los módulos criptográficos al momento de la ceremonia inicial de generación

de claves.

� Método de activación de la clave privada

Para la activación de la clave privada es necesario utilizar tarjetas inteligentes, requiere dos de cuatro

tarjetas de administrador y una de dos tarjetas de operador, adicionalmente, es necesario el acceso al

servidor de certificación.




� Método de desactivación de la clave privada

Un Administrador puede proceder a la desactivación de la clave de Digicert S.R.L mediante la detención

del software EJBCA.

� Método de destrucción de la clave privada

La destrucción de una clave privada suele realizarse por uno de los siguientes motivos:

- Cese del uso; o

- Compromiso de la misma (pierde la calidad de secreta).

La destrucción siempre debe ser precedida por una revocación del certificado asociado, si éste estuviese

todavía vigente.

Para la destrucción de la clave privada, los dispositivos criptográficos (ya sea Token o HSM) deben

reinicializarse. Durante este proceso se realiza el borrado seguro de las claves contenidas.

� Clasificación de los módulos criptográficos

Los módulos de hardware criptográficos (HSM) utilizados están certificados FIPS 140-2 nivel 3.

7.3. OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES

� Archivo de la clave pública

La clave pública de Certificaciones Digitales Digicert S.R.L estará disponible públicamente hasta el

vencimiento del último certificado emitido que deba verificarse con esta.

A su vez, Certificaciones Digitales Digicert S.R.L mantiene un archivo de todos los certificados emitidos por

un periodo de cinco (5) años.

� Período de uso para el par de claves

El certificado de la ECA raíz de Certificaciones Digitales Digicert S.R.L tiene una validez de diez (10) años a

partir de la emisión del mismo por parte de la ATT. Para proseguir con sus operaciones Certificaciones

Digitales Digicert S.R.L emitirá un nuevo par de claves y solicitará el certificado correspondiente a la ATT.

Los certificados de signatarios, persona física y persona jurídica, tienen la validez definida por la Política

de Certificación correspondiente a cada uno.

7.4. DATOS DE ACTIVACIÓN

� Generación e instalación de los datos de activación

Certificaciones Digitales Digicert S.R.L ha desarrollado los procedimientos para la generación de claves de

activación de la clave privada del módulo criptográfico, basado en un esquema multi-personal.




� Protección de los datos de activación

Solo el personal designado por Certificaciones Digitales Digicert S.R.L posee las claves necesarias para la

activación de la clave privada bajo el sistema multi-personal y son responsables de su custodia.

� Otros aspectos de los datos de activación

Las claves de activación son confidenciales, personales e intransferibles.

7.5. CONTROLES DE SEGURIDAD INFORMÁTICA

Certificaciones Digitales Digicert S.R.L ha definido un Sistema de Gestión de Seguridad de la Información

(SGSI) basado en el estándar ISO/IEC 27.001 y una serie de controles de seguridad, incluyendo:

- Definición de roles y responsabilidades;

- Controles de acceso físico y lógico;

- Seguridad física de ambientes y sistemas;

- Gestión de copias de seguridad (respaldos);

- Registros de auditoría;

- Respuesta ante incidentes.

El acceso a los sistemas de la Entidad Certificadora está restringido al personal autorizado según los roles

asignados, bajo los procedimientos y controles establecidos.

El procedimiento de control se detalla en los documentos PRO-ECA-03 de control de accesos físicos y

lógicos, PRO-ECA-02 de respuesta a incidentes y PL-ECA-01 de gestión de desastres.

7.6. CONTROLES DE SEGURIDAD DEL CICLO DE VIDA

� Los controles de seguridad se enmarcan en los lineamientos establecidos en la Resolución

Administrativa RAR-DJ-RA TL LP 31/2015 emitida por la ATT.Controles de desarrollo de sistemas

Todos los sistemas utilizados por Certificaciones Digitales Digicert S.R.L pasan por revisiones y pruebas de

seguridad según los procedimientos establecidos en el SGSI.

La entidad no realiza desarrollo in-house pero utiliza software a medida desarrollado y mantenido por

terceros. Toda modificación al código, o actualización, y cambio de configuración de los sistemas utilizados

pasa por un riguroso proceso de prueba acorde a procedimientos establecidos.

� Controles de gestión de seguridad

Las pruebas de funcionamiento son periódicas y el monitoreo permanente. Todos los procedimientos en

cuanto a seguridad han sido establecidos para el funcionamiento de la entidad.

� Controles de seguridad del ciclo de vida de los sistemas

Existen controles de seguridad durante todo el ciclo de vida de los sistemas, incluyendo:




- Registro y reporte de acceso físico.

- Registro y reporte de acceso lógico.

Procedimientos de actualización e implementación de sistemas.El procedimiento se detalla en los

documentos PRO-ECA-01 de gestión de cambios y pasaje entre ambientes y PRO-ECA-10 de control de

Cambios.

7.7. CONTROLES DE SEGURIDAD DE LA RED

El hardware y software para la emisión de certificados por parte de Certificaciones Digitales Digicert S.R.L

están sujetos a estrictos controles de seguridad y únicamente son accesibles desde la red interna.

La red se encuentra segmentada y protegida por firewalls en alta disponibilidad, los sistemas protegidos

contra virus y software malicioso, y el acceso de los usuarios a sus cuentas en el sistema está controlado.

La herramienta de SIEM incorporada realiza la centralización de los registros del NIDS, firewall y HIDS y

tiene definidas reglas específicas de correlación que generan alarmas ante actividades sospechosas. De

esta manera se dispone de un esquema de control y monitoreo en tiempo real de la seguridad de la red.

7.8. CONTROLES DE LOS MÓDULOS CRIPTOGRÁFICOS

Certificaciones Digitales Digicert S.R.L únicamente utiliza módulos criptográficos con certificación FIPS 140-

2 nivel 3.

� Registro de tiempo

Los sistemas y servidores de Certificaciones Digitales Digicert S.R.L se encuentran sincronizados en fecha

y hora y guardan registros de todas las actividades.




8. PERFIL DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

8.1. PERFIL DEL CERTIFICADO DE LA ENTIDAD CERTIFICADORA RAÍZ (ECR)

1. El formato para el Certificado Digital de la ECR tendrá los siguientes atributos y contenidos:

a) Versión (version):

- El valor del campo es 2.

b) Número de Serie (serialNumber):

- Número asignado por la ECR, valor hasta de 20 octetos.

c) Algoritmo de firmas (signatureAlgorithm):

- OID: 1.2.840.113549.1.15 (SHA256withRSA)

d) Nombre del Emisor (issuer):

- CN = Entidad Certificadora Raiz de Bolivia;

- O = ATT;

- C = BO; de acuerdo a ISO3166.

e) Periodo de validez (validity):

- Fecha de emisión del Certificado, YYMMDDHHMMSSZ (formato UTC Time);

- Fecha de caducidad del Certificado, formato UTC Time.

f) Nombre suscriptor (subject):


- O = ATT;


g) Información de la clave pública del suscriptor (subjectPublicKey):

- Algoritmo: RSA;

- Longitud: 4096 bits.

2. Las extensiones del Certificado Digital de la ECR serán las siguientes:

a) Identificador de la clave del suscriptor (subjectKeyIdentifier):

- Función Hash (SHA1) del atributo subjectPublicKey.

b) Uso de Claves (keyUsage):

- digitalSignature = 0;

- nonRepudiation = 0;

- keyEncipherment = 0;

- dataEncipherment = 0;

- keyAgreement = 0;

- keyCertSign = 1;

- cRLSign = 1;

- encipherOnly = 0;

- decipherOnly = 0.

c) Política de Certificación (certificatePolicies):

- URI: (archivo en formato de texto).

d) Restricciones Básicas (basicConstraints):

- CA = TRUE;

- pathLenConstraint = “1”.

e) Punto de distribución de las CRL (cRLDistributionPoints):




- URI: (.crl).

8.2. PERFIL DEL CERTIFICADO DE LA ENTIDAD CERTIFICADORA AUTORIZADA (ECA)

1. El formato para el Certificado Digital de Certificaciones Digitales Digicert S.R.L tendrá los

siguientes atributos y contenidos:

a) Versión (version):

- El valor del campo es 2.

b) Número de Serie (serialNumber):

- Número asignado por la ECR.

c) Algoritmo de firmas (signatureAlgorithm):

- OID: 1.2.840.113549.1.15 (SHA256withRSA).

d) Nombre del Emisor (issuer):


- O = ATT;


e) Periodo de validez (validity):

- Fecha de emisión del Certificado, YYMMDDHHMMSSZ (formato UTC Time);

- Fecha de caducidad del Certificado, formato UTC Time.

f) Nombre suscriptor (subject):

- CN =”Entidad Certificadora Certificaciones Digitales Digicert S.R.L”;

- O = “Certificaciones Digitales Digicert S.R.L”;

- C = “BO”.

g) Clave pública del suscriptor (subjectPublicKey):

- Algoritmo: RSA;

- Longitud: 4096 bits.

2. Las extensiones del Certificado Digital de una ECA serán las siguientes:

a) Identificador de la clave de la Autoridad Certificadora (authorityKeyIdentifier):

- Identificador de la clave pública de la ECR.

b) Identificador de la clave del suscriptor (subjectKeyIdentifier):

- Función Hash (SHA1) del atributo subjectPublicKey.

c) Uso de Claves (keyUsage):

- digitalSignature = 0;

- nonRepudiation = 0;

- keyEncipherment = 0;

- dataEncipherment = 0;

- keyAgreement = 0;

- keyCertSign = 1;

- cRLSign = 1;

- encipherOnly = 0;

- decipherOnly = 0.

d) Política de Certificación (certificatePolicies):

- URI: (archivo en formato de texto).

e) Restricciones Básicas (basicConstraints):




- CA = TRUE;

- pathLenConstraint = 0.

f) Punto de distribución de las CRL (cRLDistributionPoints):

- URI: (.crl).

g) Información de Acceso de la ECA (authorityInformationAccess):

- URI: (.crt).

8.3. PERFIL DE LA CRL DE LA ENTIDAD CERTIFICADORA RAÍZ

El formato de las Listas de Certificados Revocados (CRL) tendrá los siguientes contenidos y atributos

mínimos:

a) Versión (versión):

- El valor del campo es 1 (corresponde a la versión 2 del estándar);

b) Algoritmo de firma (signatureAlgorithm):

- Identificador de Objeto (OID) del algoritmo utilizado por la Entidad Certificadora Pública

para firmar la Lista de Certificados Revocados;

c) Nombre del Emisor (Issuer):

- CN = ”Entidad Certificadora Certificaciones Digitales Digicert S.R.L”;

- O = “Certificaciones Digitales Digicert S.R.L”;

- C = “BO”.

d) Día y Hora de Vigencia (This Update):

- Fecha de emisión de la CRL, YYMMDDHHMMSSZ (formato UTC Time).

e) Próxima actualización (Next Update):

- Fecha límite de emisión de la próxima CRL, formato UTC Time.

f) Certificados Revocados (Revoked Certificates):

- Lista de certificados revocados (CRL) identificados mediante su número de serie, la fecha

de revocación y una serie de extensiones específicas.

Las extensiones de la Lista de Certificados Revocados serán, como mínimo, las siguientes:

a) Identificador de la Clave del suscriptor (subjectKeyIdentifier):

- Función Hash (SHA1) del atributo subjectPublicKey (clave pública correspondiente a la

clave privada usada para firmar la Lista de Certificados Revocados).

b) Número de Lista de Certificados Revocados (CRL Number):

- Número de secuencia incremental para una CRL y una Entidad Certificadora

determinadas.

c) Extensiones de un elemento de la Lista de Certificados Revocados.

d) Código de motivo (Reason code):

- Indica la razón de revocación de un elemento de la CRL

8.4. PERFIL DEL OCSP

La adhesión en cuanto a definiciones, implementación y formatos, al RFC 5280 “Internet X.509 Public Key

Infrastructure Certificate and Certificate Revocation List (CRL) Profile” y RFC 6960 “X.509 Internet Public

Key Infrastructure On Line Certificate Status Protocol – OCSP”.




i. El requerimiento de inclusión de los siguientes datos en las consultas OCSP:

a) Versión (version);

b) Requerimiento de servicio (service request);

c) Identificador del certificado bajo consulta (target certificate identifier);

d) Extensiones que puedan incluirse en forma opcional (optionals extensions) para su

procesamiento por quien responde.

Cuando se recibe una consulta OCSP, quien responde debe considerar al menos los siguientes

aspectos:

a) Que el formato de la consulta sea el apropiado;

b) Que quien responde sea una entidad autorizada para responder la consulta;

c) Que la consulta contenga la información que necesita quien responde;

d) Si todas estas condiciones son verificadas, se devuelve una respuesta. De lo contrario, se

deberá emitir un mensaje de error.

ii. Cuando se emite una respuesta OCSP, se sugiere requerir que se consideren los siguientes datos:

a) Versión;

b) Identificador de la Entidad Certificante Autorizada o de la entidad habilitada que emite

la respuesta;

c) Fecha y hora correspondiente a la generación de la respuesta;

d) Respuesta sobre el estado del certificado;

e) Extensiones opcionales;

f) Identificador de objeto (OID) del algoritmo de firma;

g) Firma de respuesta.

iii. Una respuesta a una consulta OCSP debería contener:

a) Identificador del certificado;

b) Valor correspondiente al estado del certificado, pudiendo ser, de acuerdo al RFC 5280:

- Válido (good), existe un certificado digital válido con el número de serie

contenido en la consulta;

- Revocado (revoked), el certificado digital con el número de serie indicado está

revocado;

- Desconocido (unkown), no se reconoce el número de serie de certificado

contenido en la consulta;

c) Período de validez de la respuesta;

d) Extensiones opcionales.

Las respuestas OCSP deben estar firmadas digitalmente por la ECA correspondiente o por una

entidad habilitada a tal efecto en el marco de la PKI de Bolivia.

El certificado utilizado para la verificación de una respuesta OCSP debe contener en el campo

“extendedKeyUsage” con el valor “id-kp-OCSPSigning”, cuyo OID es: A completar por

Certificaciones Digitales Digicert S.R.L




9. AUDITORÍA DE CONFORMIDAD

9.1. FRECUENCIA DE LOS CONTROLES DE CONFORMIDAD PARA CADA ENTIDAD

Las auditorías de control y seguimiento ordenadas por ley e impuestas por mandato de la ATT, serán

efectuadas por el calendario coordinado entre las entidades.

9.2. RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA

Al margen de la función de auditoría, el auditor y la parte auditada (Certificaciones Digitales Digicert S.R.L)

no deberán tener ninguna relación, actual o planificada, financiera, legal, o de cualquier otra clase que

pueda derivar en un conflicto de intereses.

En cumplimiento de lo establecido en la Constitución Política del Estado sobre protección de datos

personales y considerando que, para el cumplimiento, por parte del auditor, de los servicios regulados en

el contrato será preciso acceder a los datos de carácter personal custodiados por Certificaciones Digitales

Digicert S.R.L, el auditor tendrá la consideración de encargado del tratamiento de los datos, lo que le

permitirá acceso a los mismos durante el desarrollo de la auditoría.

9.3. COMUNICACIÓN DE LOS RESULTADOS

El auditor comunicará los resultados de la auditoría a la Gerencia y Dirección de Certificaciones Digitales

Digicert S.R.L, al igual que al Oficial de Seguridad y a los responsables de las distintas áreas en las que se

detecten no conformidades.




10. REQUISITOS COMERCIALES Y LEGALES

10.1. TARIFAS

Serán publicadas en la página web de Certificaciones Digitales Digicert S.R.L.

10.2. POLÍTICA DE CONFIDENCIALIDAD

Toda la recopilación y uso de la información compilada por Certificaciones Digitales Digicert S.R.L es

realizada cumpliendo con la legislación del Estado Plurinacional de Bolivia y basándose en las distinciones

suministradas en este Documento de Declaración de Prácticas de Certificación.

10.3. PROTECCIÓN DE DATOS PERSONALES

A fin de garantizar los datos personales y la seguridad informática de los mismos se adoptan las siguientes

previsiones:

a) La utilización de los datos personales respetará los derechos fundamentales y garantías

establecidas en la Constitución Política del Estado.

b) El tratamiento técnico de datos personales en el sector público y privado en todas sus

modalidades, incluyendo entre éstas las actividades, de recolección, conservación,

procesamiento, bloqueo, cancelación, transferencias, consultas e interconexiones, requerirá del

conocimiento previo y el consentimiento expreso del titular, el que será brindado por escrito u

otro medio equiparable de acuerdo a las circunstancias. Este consentimiento podrá ser revocado

cuando exista causa justificada para ello, pero tal revocatoria no tendrá efecto retroactivo.

Las personas a las que se les solicite datos personales deberán ser previamente informadas de que sus

datos serán objeto de tratamiento, de la finalidad de la recolección y registro de éstos; de los potenciales

destinatarios de la información; de la identidad y domicilio del responsable del tratamiento o de su

representante; y de la posibilidad de ejercitar los derechos de acceso, rectificación, actualización,

cancelación, objeción, revocación y otros que fueren pertinentes.

Los datos personales objeto de tratamiento no podrán ser utilizados para finalidades distintas de las

expresadas al momento de su recolección y registro; Los datos personales objeto de tratamiento sólo

podrán ser utilizados, comunicados o transferidos a un tercero, previo consentimiento del titular u orden

escrita de autoridad judicial competente; El responsable del tratamiento de los datos personales, tanto

del sector público como del privado, deberá adoptar las medidas de índole técnica, y organizativa

necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento

no autorizado que deberán ajustarse de conformidad con el estado de la tecnología, la naturaleza de los

datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio

físico o natural.

Al optar por el servicio de Firma Digital, el usuario acepta la publicación por parte de Certificaciones

Digitales Digicert S.R.L de la información contenida en su clave pública y el certificado firmado por





10.4. OBLIGACIONES DE LOS PARTICIPANTES DE LA PKI

Para garantizar la publicidad, seguridad, integridad y eficacia de la firma y certificado digital, las entidades

certificadoras están obligadas a:

a) Cumplir con la normativa vigente y los estándares técnicos emitidos por la ATT.

b) Desarrollar y actualizar los procedimientos de servicios de certificación digital en función a las

técnicas y métodos de protección de la información y lineamientos establecidos por la ATT.

c) Informar a los usuarios de las condiciones de emisión, validación, renovación, baja suspensión,

tarifas y uso acordadas de sus certificados digitales a través de una lista que deberá ser publicada

en su sitio web.

d) Mantener el control, reserva y cuidado de la clave privada que emplea para firmar digitalmente

los certificados digitales que emite. Cualquier anomalía que pueda comprometer su

confidencialidad deberá ser comunicada inmediatamente a la ATT.

e) Mantener el control, reserva y cuidado sobre la clave pública que le es confiada por el signatario.

f) Mantener un sistema de información de acceso libre, permanente y actualizado donde se

publiquen los procedimientos de certificación digital, así como el detalle de los certificados

digitales suspendidos y revocados.

g) Las entidades certificadoras que derivan de la certificadora raíz (ATT) deberán mantener un

sistema de información con las mismas características mencionadas en el punto anterior, ubicado

en territorio y bajo legislación del Estado Plurinacional de Bolivia.

h) Revocar el certificado digital al producirse alguna de las causales establecidas en la presente

Declaración de Prácticas de Certificación. Las causales y condiciones bajo las cuales deba

efectuarse la revocatoria deben ser estipuladas en los contratos de los titulares.

i) Mantener la confidencialidad de la información proporcionada por los titulares de certificados

digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden

judicial o solicitud del titular del certificado digital según sea el caso.

j) Mantener la información relativa a los certificados digitales emitidos, por un periodo mínimo de

cinco (5) años posteriores al periodo de su validez o vigencia.

k) Facilitar información y prestar la colaboración debida al personal autorizado por la ATT, en el

ejercicio de sus funciones, para efectos de control, seguimiento, supervisión y fiscalización del

servicio de certificación digital, demostrando que los controles técnicos que emplea son

adecuados y efectivos cuando así sea requerido.

l) Mantener domicilio legal en el territorio del Estado Plurinacional de Bolivia.

m) Notificar a la ATT cualquier cambio en la personería jurídica, accionar comercial, o cualquier

cambio administrativo, dirección, teléfonos o correo electrónico;

n) Verificar toda la información proporcionada por el solicitante del servicio, bajo su exclusiva

responsabilidad.

o) Contar con personal profesional, técnico y administrativo con conocimiento especializado en la

materia.

p) Contar con plataformas tecnológicas de alta disponibilidad, que garanticen mantener la

integridad de la información de los certificados y firmas digitales emitidos que administra.




� Responsabilidades de las autorizadas ante aceptantes

i. Las entidades certificadoras autorizadas serán responsables por la emisión de certificados

digitales con errores y omisiones que causen perjuicio a sus signatarios.

ii. La entidad certificadora autorizada se liberará de responsabilidades si demuestra que actuó con

la debida diligencia y no le son atribuibles los errores y omisiones objeto de las reclamaciones.

iii. Las entidades certificadoras autorizadas deberán responder por posibles perjuicios que se causen

al signatario o a terceros de buena fe por el retraso en la publicación de la información sobre la

vigencia de los certificados digitales.

10.5. MODIFICACIONES AL PRESENTE DOCUMENTO

Como todo documento relacionado a la implementación de Declaración de Prácticas de Certificación

deberá ser revisado y actualizado en un periodo de tiempo acordado por la Dirección Ejecutiva en

dependencia a las evaluaciones, comunicaciones y acciones que ocurran en el avance del trabajo de


En todo caso los ajustes a la documentación requerida por la ATT para la operación de Certificaciones

Digitales Digicert S.R.L, serán realizados oportunamente para la aprobación del mismo. Además, en cada

oportunidad que ocurra un cambio en el marco normativo y legal aplicable o cuando ocurra un cambio

técnico que justifique el ajuste o cambio.

10.6. RESOLUCIÓN DE CONFLICTOS

Certificaciones Digitales Digicert S.R.L y el usuario contratante reconocen que la solución pronta y

equitativa de las controversias que puedan producirse en relación con la operación, generación o venta

de la firma y certificados digitales redundará tanto en sus propios intereses como en la ejecución del

servicio contratado.

A este fin, manifiestan su decisión de realizar todos los esfuerzos posibles para resolver todas las

controversias que puedan plantearse mediante negociación a los niveles pertinentes. Si la controversia no

se ha resuelto a través de la negociación antes referida, dentro de los quince (15) días hábiles después de

iniciada la misma, entonces, a solicitud del usuario contratante se someterá la controversia a la ATT,

organismo rector en la materia de certificación. En caso de no llegar a ningún acuerdo quedará libre la vía

de reclamo por proceso legal.

Certificaciones Digitales Digicert S.R.L rechaza cualquier responsabilidad de conflictos emergentes entre

terceros relacionados con la firma digital. Igualmente, no se hace responsable del uso inapropiado de la

firma digital de los usuarios, ni de su extravío, robo, cesión a otras personas, operaciones no permitidas

en las presentes políticas o cualquier otra situación que no esté relacionada con las responsabilidades

establecidas para la Entidad Certificadora Pública en la legislación boliviana vigente.

Certificaciones Digitales Digicert S.R.L, salvo orden judicial de autoridad competente, no intervendrá en

manera alguna en la resolución de conflictos relacionados con la firma digital de sus usuarios con terceros.

El personal de Certificaciones Digitales Digicert S.R.L no tendrá en ningún momento acceso a la clave

privada de los usuarios, razón por la cual exime cualquier responsabilidad con respecto a cualquier evento

que comprometa dicha clave y las consecuencias derivadas de su uso.




10.7. LEGISLACIÓN APLICABLE

Lo no previsto en el presente Documento de la Declaración de Prácticas de Certificación, será regulado de

conformidad con lo establecido en la normativa legal vigente y aplicable a la materia dentro del Estado

Plurinacional de Bolivia.

10.8. CONFORMIDAD CON LA LEY APLICABLE

Todos los procesos, procedimientos, información técnica y legal contenida en el presente documento de

la Declaración de Prácticas de Certificación, se encuentra en un todo elaborada y de conformidad con lo

establecido en la normativa establecida por la Autoridad de Regulación y Fiscalización de

Telecomunicaciones y Transportes (ATT), en cumplimiento a la ley N° 164, Ley General de

Telecomunicaciones y Tecnologías de Información y Comunicaciones y el Decreto Supremo reglamentario

N° 1793.

declaraciÓn de prÁcticas de certificaciÓn...declaraciÓn de prÁcticas de certificaciÓn código...

Documents